生成离线一级子CA证书,用产生的离线一级子CA证书对在线二级子CA密钥进行签名,生成在线二级子CA证书。
? 加密卡和根CA离线密码机平时离线隔离存放在密码箱中,在进行生成
离线子CA和在线二级CA的密钥操作时,接上加密卡以及管理终端,进行操作。
根CA是整个华润集团银企互联CA信任体系的信任源头,负责制定和审批整个PKI认证体系的总体政策。签发并管理所有子CA的证书。根CA中心的功能和职责包括:
? 创建并维护根CA公、私钥对,并生成自签名根CA证书; ? 创建在线子CA的公私钥对,使用离线CA签发在线子CA证书;
? 确保所有密钥生成规程的完整性、可审计性,维护一个可验证的审计记录,
与所有的安全要求保持连续的一致性;
? 维护和保存包括命名文件、规程脚本、密钥分配表等在内的密钥规程文
档;
? 保管好所有密钥相关物品(包括加密卡、秘密共享、CA证书文件等); ? 在各级CA证书有效期前一个月更新证书。 2、 在线CA中心设计
对于华润集团银企互联CA中心应按照模块化设计,遵循以下原则:
? 系统对用户接口采用标准的HTTP、HTTPS和LDAP协议,确保各种用户都
能够使用本系统服务;
? 系统各模块在运行期间不保存状态信息,其状态信息保存在配置文件和数据
库内部,保证了系统的部署方便性和配置方便性,当系统需改变配置时无需中断系统的服务;
? 各模块的功能可以通过配置文件进行控制,系统可以根据不同的需求进行设
置;
? 系统某一功能模块可有多个事例,并且多个事例可运行在一台或多台计算机
上。某功能模块对其他功能模块的调用,可通过配置(依次)调用被调用功能模块的多个事例,使系统存在冗余,保证系统的不间断运行。
CA中心的软、硬件模块如下图所示。
3、 RA中心
RA系统的模块架构如下图所示:
如图所示,RA系统所有模块都安装在RA服务器上(可单独部署,也可同CA服务器部署在同一台服务器上),包括:
?
RA处理中心:该模块是RA 系统的业务处理核心,所有RA系统的处理请求都需要通过RA处理中心进行转发,它负责对证书申请的批准、吊销和拒绝,负责处理来自RA 用户服务中心和RA管理服务中心的业务请求,同时也负责同CA中心之间的所有通信。RA处理中心和CA中心CA通信模块之间的通信采用双向认证的SSL实现;
? RA用户服务Web:该模块为最终用户提供证书生命周期服务的界面,通过RA用户服务Web,用户可以进行各种类型证书的申请、查找、下载、吊销和更新等证书管理功能。RA用户服务Web业务界面可定制。RA用户服务Web访问RA处理中心获得所有功能;
? RA管理员服务Web:该模块为RA管理员提供管理界面,RA管理员访问RA管理服务Web时,必须出示RA管理员证书。RA管理员通过RA管理服务Web,批准或拒绝用户证书请求,管理用户帐号与管理员帐号,进行审计操作,统计RA发证情况等。RA管理员Web访问RA处理中心获得所有服务功能;
4、 证书存储介质
本方案推荐使用USB KEY或智能卡来保存用户的证书及私钥。
USB KEY是以USB为接口的存储设备,它便于携带和使用,可以实现在所有的机器(具有USB接口)上的漫游。智能卡需要借助专门的读卡器才能对证书进行相关操作
为了在发生USB KEY丢失等情况时,私钥可以恢复或者还可以用私钥解密以前的加密邮件,在申请证书时,密钥对可以在系统中产生而不是在USB KEY中产生,当证书申请成功后,再将私钥和证书导入到USB KEY中;同时系统可以以文件的形式保留私钥和证书的备份,这就提供了在USB KEY丢失时对用户私钥和证书的保护措施。
对于证书制作过程,可以由RA管理员统一制作,也可由用户自行申请,申请过程中,无论是用USB Key方式还是智能卡方式,密钥对在USB Key或智能卡中生成,并自动将公钥信息及其他注册信息提交至CA中心,完成证书的签发工作。写卡或USB Key的过程完全可以由成员单位自行完成。
3. CA建设方案
? 自建模式
指华润集团自行建设一套包含数字证书认证系统、密钥管理系统和用户注
册系统等的完善的CA认证体系,可独立实现证书的发放和运营。
在自建模式中,华润集团除了购买系统软件之外,还包括系统、通信、数
据库以及场地建设、物理安全(门襟系统、监控系统、消防系统、防水、电磁屏蔽等)、网络安全配置、高可靠性的冗余系统和灾难恢复等方面的建设。对于自建型的PKI/CA系统,华润集团需要考虑系统的后期运营和维护,建立完整的运营管理体系,并负责系统的日常维护和升级等。
信息产业部对CA运营机构的建设和运营标准有详细的规定和检验标准,华润集团CA系统并不作为运营机构对外提供电子认证服务,因此CA认证中心的建设可参考国家相关标准,并根据自身的安全需要、管理需要进行适当的裁剪。
对于华润集团,采用自建模式时可考虑如下四种方式:
(1) 统一建设/统一管理:集团总部统一建设CA中心和RA中心,并由
集团总部承担承担秘钥管理、证书鉴证、分发等工作,此时华润集团仅需建设一套CA中心及RA中心,并由总部人员承担RA管理员角色;
(2) 统一建设/分散管理:集团总部统一建设CA中心和RA中心,针对
每个资金中心或利润中心创建独立的RA管理员,此时华润集团仅需建设一套CA中心及RA中心,并承担秘钥管理工作,但RA管理员角色由各资金中心或利润中心自行承担,自行完成证书鉴证、分发等工作,且证书审批方式、发放方式具有多样性;
(3) 级联建设/分散管理:集团总部统一建设CA中心,各资金中心建立
独立的RA认证中心,此时,华润集团需建设一套CA中心,27套RA认证中心,集团总部承担秘钥管理工作,RA管理员角色由各资金中心、利润中心自行承担,自行完成证书鉴证、分发等工作,且证书审批方式、发放方式具有多样性,同时各资金中心、利润中心可对RA进行灵活配置和定制,并可自行决定是否将RA与其它业务系统集成;对于级联建设模式,可以在集团总部、资金中心、利润中心部署三级RA系统,实现下级单位管理员通过RA进行个人证书管理。
(4) 分散建设/分散管理:集团建立根CA认证中心,各资金中心建立子
CA认证中心,此时华润集团需建设5套CA系统,集团总部使用根
CA签署5个二级子CA,并下发至下属利润中心、成员单位,下属单位自行承担秘钥管理、CA管理、RA管理工作,总部实际上对子CA不具有太多的管理和约束。
? 第三方模式
华润集团购买用具有国家认可运营资质,并受《电子签名法》保护的合法第三方CA认证机构的电子认证服务。
我国于2005年4月1日正式实施的《电子签名法》和《电子认证服务管理办法》,对第三方CA认证中心实行市场准入制度。仅有通过国家相关主管部门审批并获得运营资质的CA方可面向公众提供第三方数字证书认证服务。对未获得资质而开展CA认证业务的行为制定了 严厉的处罚措施,在《电子签名法》第29条中规定:“未经许可提供电子认证服务的,由国务院信息产业主管部门责令停止违法行为;有违法所得的,没收违法所得;违法所得三十万元以上的,处违法所得一倍以上三倍以下的罚款;没有违法所得或者违法所得不足三十万元的,处十万元以上三十万元以下的罚款。”由此可见,自建CA若想开展认证业务,必然面临依法申请认证资质的问题,否则无法向公众提供合法的认证服务。
华润集团资金管理系统涉及到资金相关的敏感数据,对诚信和法律保障的要求较高,一旦出现了错误,需要能够进行合法的取证和责任鉴定流程,因此,采用合法的第三方CA,能够使资金管理系统具有更好的诚信度和法律保障性。同时在资金管理系统中,银行与华润集团之间的数据交换如果采用了具有法律效力的数据签名,而华润集团内部资金管理系统没有采用具有法律效力的数字签名将使整个业务流程的安全等级和诚信等级具有不一致性,使华润集团难以追踪或溯源恶意行为的源头和过程。
采用第三方模式时,也可使用如下两类建设模式:
? 远程RA:RA中心建在第三方认证中心,华润无需在集团总部或资金
中心部署任何CA相关的设备或系统,最终用户登录第三方认证机构“证书服务中心”完成证书注册操作,华润RA管理员远程登录到第三方认证机构“证书管理中心”,完成证书相关的管理操作,此时,所有证书相关数据存储在第三方CA认证中心。
? 本地RA:RA中心部署在各个资金中心和集团总部,最终用户登录本